百度安全：中國(guó)近3000域名受BadLock 0day漏洞影響

北京時(shí)間4月13日凌晨5:00，一月一次的微軟補(bǔ)丁日如期而至。在這次微軟發(fā)布的補(bǔ)丁中，包含了一個(gè)嚴(yán)重的遠(yuǎn)程漏洞—— BadLock漏洞，官網(wǎng)早前聲明其影響范圍是“對(duì)Windows 系統(tǒng)和 Samba 服務(wù)一律全版本通殺”，其危害程度可想而知。地下黑產(chǎn)早就對(duì)漏洞和影響的用戶虎視眈眈。

針對(duì)BadLock 漏洞，百度安全第一時(shí)間啟動(dòng)了“0Day防御計(jì)劃”，并且對(duì)漏洞進(jìn)行了分析。憑借在大數(shù)據(jù)安全方面的積累和能力，百度全網(wǎng)威脅感知系統(tǒng)迅速掃描全球的影響范圍，與國(guó)內(nèi)受影響用戶取得聯(lián)系，協(xié)助用戶盡早進(jìn)行安全檢查和防御措施。

“ 一大波僵尸來(lái)襲”

令人大跌眼鏡的是，本次漏洞公布后并不是人們預(yù)期中的單獨(dú)一兩個(gè)漏洞，而是一個(gè)漏洞族，總共9個(gè)漏洞同時(shí)發(fā)布，這可謂是“一大波僵尸來(lái)襲”!

為什么這次漏洞會(huì)出先這么多漏洞?為此記者采訪了百度安全的網(wǎng)址安全中心負(fù)責(zé)人耿志峰。他解釋說(shuō)：“之所以會(huì)有這么多漏洞，是因?yàn)镾amba實(shí)現(xiàn)了多種協(xié)議和服務(wù)，如SAMR、LSA、DCE-RPC、NTLMSSP等，而這些漏洞都是出現(xiàn)在這些協(xié)議和服務(wù)上的，最終會(huì)導(dǎo)致兩種危害：中間人攻擊和拒絕服務(wù)，并衍生出提權(quán)、嗅探、流量劫持等漏洞危害。

這些漏洞影響的版本范圍也各有不同，橫跨了從Samba3.0.0到Samba4.4.0。雖然官方?jīng)]再宣稱 “全版本通殺”，而是給出了多個(gè)具體的版本信息，并聲明更早的版本沒(méi)有進(jìn)行評(píng)估，不確定其危害。

這次爆發(fā)的 BadLock 漏洞，為什么備受關(guān)注?漏洞危害到底多嚴(yán)重?對(duì)此，耿志峰告訴記者：“Samba 支持SMB/CIFS是一種網(wǎng)絡(luò)傳輸協(xié)議，用戶使用安裝了samba服務(wù)的Unix類系統(tǒng)，就可以像Windows一樣共享自己的文件夾、打印機(jī)等資源，并訪問(wèn)Windows系統(tǒng)上的資源。這次 BadLock 漏洞之所以非常嚴(yán)重，是因?yàn)闊o(wú)論對(duì)于 Windows 系統(tǒng)，還是對(duì)Samba 服務(wù)，幾乎是全版本通殺!而漏洞危害等級(jí)又屬于嚴(yán)重級(jí)別。所以可以斷定的是，這個(gè)漏洞將對(duì)整個(gè)互聯(lián)網(wǎng)造成很大的沖擊�！�

令人擔(dān)憂的是，在這些開(kāi)放 SMB 服務(wù)的系統(tǒng)中，94%的 Samba 版本集中分布在4.1(不含)以下版本，4.1版本占6%。

這個(gè)數(shù)據(jù)意味著什么?從百度安全的數(shù)據(jù)來(lái)看，耿志峰表現(xiàn)出擔(dān)憂：“Samba4.1以下的版本，官方已經(jīng)不再提供技術(shù)支持，也不會(huì)再提供安全補(bǔ)丁。這就是說(shuō)，即便是微軟發(fā)布漏洞補(bǔ)丁，目前在使用 Samba4.1版以下的用戶，依然處在危險(xiǎn)之中。”

近3000 域名可能被黑

BadLock漏洞爆發(fā)之后，百度安全立即啟動(dòng)了應(yīng)急響應(yīng)，百度網(wǎng)址安全中心對(duì)全網(wǎng)安全狀況進(jìn)行了掃描。掃描結(jié)果顯示，目前互聯(lián)網(wǎng)上存在開(kāi)放SMB服務(wù)的主機(jī)數(shù)量有近8萬(wàn)個(gè)。其中大部分為Unix類操作系統(tǒng)，少量為Windows操作系統(tǒng)。在非Windows類的系統(tǒng)中還發(fā)現(xiàn)了部分個(gè)人移動(dòng)設(shè)備，如MacOS、iOS、Symbian等。

從中國(guó)的角度看，百度安全數(shù)據(jù)顯示，這次Samba 0day漏洞對(duì)中國(guó)的影響(不包含港澳臺(tái)地區(qū))在全球排名第18位，共計(jì)1061主機(jī)、接近3000個(gè)域名受到漏洞波及。一旦這些域名沒(méi)有及時(shí)更新相關(guān)服務(wù)，就很可能遭受黑客攻擊。

在補(bǔ)丁發(fā)布與用戶沒(méi)有升級(jí)之前的這段窗口期，黑客仍然有機(jī)可乘。耿志峰告訴記者：“攻擊者可在第一時(shí)間通過(guò)diff代碼(比較兩個(gè)文本文件的差異，是Unix 系統(tǒng)代碼版本管理的基本工具)等方式快速分析出漏洞機(jī)理，沒(méi)有及時(shí)升級(jí)和打補(bǔ)丁的用戶屆時(shí)將面臨極大風(fēng)險(xiǎn)和安全隱患�！�

已經(jīng)為200 多用戶提供支持

雖然目前還沒(méi)有任何漏洞PoC被透露出來(lái)，但有消息稱，目前業(yè)界已經(jīng)開(kāi)始分析源碼中的相關(guān)文件，而黑產(chǎn)自然不會(huì)放過(guò)這個(gè)大好的機(jī)會(huì)。

據(jù)悉，百度安全已經(jīng)啟動(dòng)了針對(duì)全網(wǎng)用戶的0Day防御計(jì)劃，并且與200多受影響的用戶取得聯(lián)系，幫助他們排除風(fēng)險(xiǎn)，確保業(yè)務(wù)安全性。百度安全提示，用戶應(yīng)盡快升級(jí)版本和修復(fù)補(bǔ)丁。

為了幫助用戶及時(shí)檢測(cè)自身業(yè)務(wù)系統(tǒng)的安全性，百度安全的0day 漏洞報(bào)告平臺(tái)專門推出了檢測(cè)頁(yè)面(http://0day.baidu.com/index.php?samba)，廣大站長(zhǎng)和企業(yè)用戶可以登錄網(wǎng)站來(lái)檢測(cè)自己的網(wǎng)站是否受到影響。

此外，百度安全還專門開(kāi)通了400客戶服務(wù)專線，為受影響的用戶提供安全服務(wù)支持。用戶可以撥打400-805-4999，向百度安全尋求專業(yè)的安全指導(dǎo)和幫助。